Introduzione

Nel precedente articolo di questa serie si è chiarito cosa si intenda, sotto un profilo strettamente giuridico, con l’espressione Big Data. Qui, invece, si cercherà di indicare quali siano gli obblighi normativi — e le best practices — che devono essere rispettati da chi intende effettuare operazioni attraverso algoritmi e procedure statistiche su grandi banche dati contenenti dati personali, quelli che appunto sono definiti come Big Data.

La nostra attenzione si concentrerà sulla disciplina europea attuale (la Direttiva CE n. 46 del 1995), e su quella italiana di sua diretta derivazione (il D.Lgs 196/2003, cosiddetto Codice Privacy), oltre che sulle linee guida e sui pareri pubblicati da organismi ufficiali dell’UE.

La disciplina attuale: tra obblighi e norme di indirizzo

È noto che chiunque voglia effettuare elaborazioni di Big Data che contengono dati personali, quantomeno per scopi di natura commerciale, deve rispettare la normativa prevista dalla Direttiva CE n. 46 del 1995 e quanto stabilito dal Codice Privacy, oltre che dagli eventuali provvedimenti del Garante Privacy Italiano. Tutto questo è dovuto in quanto tali elaborazioni di dati rientrano nel loro ambito di applicazione.

Né la Direttiva, né il Codice Privacy, né tantomeno i provvedimenti del Garante italiano — che sono gli strumenti a carattere vincolante — prevedono però disposizioni specifiche per trattamenti con Big Data. È una precisazione importante, perché delimita in modo chiaro, in una materia in cui linee guida, pareri e position paper abbondano, le fonti di diritto che impongono effettivi obblighi al titolare del trattamento e quei contributi che forniscono norme di indirizzo ma che non sono vincolanti per i loro destinatari.

Ciò non toglie che questi ultimi, soprattutto in una materia complessa come quella che si sta analizzando, siano di fondamentale importanza per la realizzazione di sistemi e procedure che, oltre a rispettare i principi generali, risultino efficienti e che consentano ai loro utilizzatori di sfruttare, nei limiti consentiti dalla legge, tutto il potenziale commerciale dei Big Data. Per tale motivo, nella breve analisi degli adempimenti più rilevanti (procedurali, tecnici e organizzativi) in tema di Big Data, oltre ad introdurre i principi della materia verranno mostrate le indicazioni suggerite autorevolmente dall’Article 29 Working Party dell’Unione Europea e dal Garante Europeo della Protezione dei Dati.

Orientiamoci alla luce dei principi

La disciplina prevista dal legislatore Europeo, e quella Italiana di diretta derivazione, prevedono che le attività di trattamento di dati siano effettuate nel rispetto di alcuni importanti principi. Si tratta di principi che, differentemente da quanto si possa pensare, hanno un’incidenza pratica notevole sull’attività di trattamento dei dati personali.

Come si cercherà di mostrare, in realtà, solo alla luce di queste norme sarà possibile orientarsi per operare correttamente su dati. Vediamo allora quali sono quelli che più rilevano per l’ambito che stiamo analizzando e quali aspetti specifici devono essere segnalati per i trattamenti con Big Data.

Specificazione e limitazione delle finalità del trattamento

Quando si iniziano a pianificare operazioni di trattamento di dati personali, anche con Big Data, il primo principio che deve essere rispettato è quello di specificazione e limitazione delle finalità.

Con questa espressione s’intende, semplificando, che il soggetto che decide di elaborare dati personali — il Titolare del trattamento — deve stabilire prima dell’inizio dell’attività di trattamento gli scopi determinati, espliciti e leciti per cui effettuerà le elaborazioni di dati.

Il titolare di una piattaforma e-commerce, prima di consentire agli utenti di creare un proprio account sul sito, dovrà aver stabilito, e informato gli utenti sul punto, che i dati che verranno raccolti serviranno, ad esempio, per consentire agli stessi di effettuare acquisti on line, ed eventualmente che i dati raccolti verranno anche utilizzati per invio di pubblicità relativa a prodotti analoghi a quelli acquistati o per adempiere ad obblighi fiscali e contabili.

All’opposto, non è quindi consentita la raccolta di dati per scopi generici, che verranno stabiliti dal titolare del trattamento solo in un futuro più o meno lontano; per esempio non è possibile stabilire che si raccolgono dati di utenti che visitano un sito web e, solo in seguito, si decide di cedere a terzi quei dati.

È un principio tanto semplice in apparenza quanto importante: tra gli esperti viene addirittura definito come un super principio, come il prerequisito del trattamento di dati personali o, addirittura, come la pietra angolare della disciplina in materia di protezione dei dati personali.

A dispetto delle apparenza, come si è già avuto modo di anticipare nel precedente articolo della serie, l’applicazione del principio di limitazione della finalità è particolarmente problematica soprattutto quando si parla di Big Data; questo perché è proprio la natura di questo tipo di trattamenti — elaborazioni di grandi quantità di dati con avanzati algoritmi e procedure statistiche — che non consente di determinare a priori quali possano essere i risultati delle attività di analisi e, di conseguenza, quali possano essere gli scopi ulteriori per cui verranno successivamente trattati i dati stessi [1].

Nonostante ciò, la normativa impone comunque al Titolare di individuare, prima dell’inizio delle attività di trattamento, delle finalità determinate, specifiche e lecite dei propri trattamenti di dati, anche in ambito Big Data.

Ma quali possono essere le finalità, gli scopi, per cui vengono effettuati trattamenti con Big Data? In generale si può affermare che, in una prima fase, le informazioni contenute in grosse banche dati vengono analizzate essenzialmente per due finalità distinte tra loro: da un lato, per analizzare le abitudini di consumo o di fruizione di un servizio da parte di un interessato, ossia la cosiddetta profilazione, e dall’altro per studiare e analizzare le tendenze e le correlazioni tra le informazioni, quella che in gergo tecnico viene definita “attività di Data Discovery e, nei termini del Regolamento Generale UE, come analisi generale.

Si tratta di attività tra di loro molto differenti e, soprattutto, per le quali si prevedono obblighi differenti. In questa sede si segnala solo che se il Titolare del trattamento decide di effettuare attività di profilazione, a differenza di altri tipi di trattamenti, potrà svolgerla solo dopo che sia stata effettuata una notificazione ex art. 37 Codice Privacy e che questa non potrà avere ad oggetto dati sensibili.

All’esito dell’attività di profilazione o di analisi generale, il Titolare, sulla base degli esiti ottenuti, potrebbe voler trattare per altre finalità i dati ottenuti: cedere/comunicare i dati a soggetti terzi, effettuare attività di marketing diretto, ricerche di mercato, etc. In questo caso, anche le ulteriori finalità dovranno comunque essere stabilite a priori da parte del Titolare e comunicate all’interessato prima dell’inizio delle attività di trattamento dei dati.

Trasparenza e correttezza nei trattamenti di Big Data

Dopo aver individuato scopi determinati, espliciti e legittimi per i quali effettuare trattamenti con Big Data, il Titolare del trattamento dovrà dare attuazione a un altro principio, quello di trasparenza e correttezza.

È anch’esso fondamentale, al pari di quello di specificazione e limitazione delle finalità, e impone al Titolare di essere corretto con l’interessato, informandolo in modo chiaro delle caratteristiche del trattamento dei suoi dati personali. Per dare attuazione a questo principio, la normativa individua uno strumento specifico, ossia l’informativa privacy, che dovrà rendere noto all’interessato le caratteristiche del trattamento e dovrà contenere tutti gli elementi tassativamente previsti dall’art. 13 del Codice Privacy (modalità del trattamento, ambito di diffusione comunicazione dei dati, obbligatorietà o meno del conferimento dei dati, diritti dell’interessato, etc.).

In aggiunta a queste informazioni, però, il Working Party 29 dell’Unione Europea [2] suggerisce di integrare l’informativa per trattamenti con Big Data con elementi ulteriori, che consentano all’interessato di conoscere anche “quali siano le logiche (l’algoritmo) alla base della creazione di profili degli interessati” e la fonte dalla quale sono stati tratti i dati che hanno portato alla creazione del suo profilo. Inoltre, proprio per dare piena trasparenza al trattamento, lo stesso interessato dovrà anche poter accedere, tramite un’interfaccia semplificata, al proprio profilo: se stiamo parlando di un servizio web, ad esempio, deve essere disponibile una dashboard o qualcosa del genere che offra la possibilità di modificare, correggere o cancellare i dati ivi presenti.

In aggiunta a ciò, all’interessato dovrebbe essere anche consentita la possibilità di scaricare sul proprio dispositivo le informazioni raccolte dal Titolare, salvandole in un formato standard e interoperabile, in modo che possano essere poi riutilizzate con un altro provider o dall’interessato per svolgere autonomamente elaborazioni sui propri dati personali [3].

Infine, sempre in tema di correttezza e trasparenza del trattamento con Big Data, si suggerisce da più parti di consentire all’interessato, in parziale deroga a quanto previsto dall’attuale disciplina, di poter esercitare in qualsiasi momento il cosiddetto no-queston asked opt-out, ossia la possibilità di richiedere al Titolare l’immediata interruzione del trattamento dei propri dati personali, anche quando abbia già prestato un valido consenso al trattamento e senza la necessità di dover giustificare le sue scelte.

Misure di sicurezza aggiuntive per Big Data

Anche sotto il profilo delle misure di sicurezza, quando si effettuano elaborazioni con Big Data, si devono prevedere accorgimenti aggiuntivi rispetto a quelli previsti per i trattamenti ordinari di dati personali.

Generalmente, a meno che non si trattino dati particolari, la disciplina prevede l’adozione delle misure di sicurezza previste dagli artt. 33 e seguenti e dall’Allegato B del Codice Privacy (adozione di misure di autenticazione, creazione di profili di autorizzazione, sistemi di backup, etc.). Qualora però ci si trovi in presenza di Big Data, si suggerisce l’adozione di accorgimenti aggiuntivi di tipo tecnologico, organizzativo e contrattuale.

Quanto al lato strettamente tecnico, si suggerisce, oltre all’implementazione degli accorgimenti già previsti dall’attuale disciplina, di adottare misure di sicurezza specifiche, come la crittografia (sia sui dati conservati nel database, sia nei protocolli di trasmissione) o sistemi di pseudonimizzazione.

Sotto un profilo organizzativo, si consiglia di consentire l’accesso ai dati personali esclusivamente ai soggetti che devono effettivamente analizzarli e, preferibilmente, solo in forma aggregata, se non necessario per specifiche esigenze.

Infine si raccomanda ai Titolari, nei rapporti contrattuali con dipendenti, collaboratori o terzi, l’imposizione di obblighi di riservatezza sui dati personali di cui venissero a conoscenza per ragioni di servizio, e di un divieto assoluto di pubblicazione degli stessi.

Conclusioni

In questo articolo sono state evidenziate le particolarità dei trattamenti con Big Data rispetto ai trattamenti tradizionali di dati personali. Nel prossimo articolo della serie verranno invece analizzati gli accorgimenti necessari per operare su Big Data contenenti dati anonimi e la differente disciplina prevista per il trattamento di questo tipo di informazioni.